自1996年Cisco发表Netflow对流量异常侦测准确性,其准度是不容怀疑;但是有那些厂商可以克服”流量大”而不产生封包(Packet)遗失的技术呢?
1.在安装”流量监视报表时”设备须要设定Netflow导入封包(Packet)抽样比值,一般市场上此类产品都设定为”1:32”,也就是每32个封包(Packet)取一个封包(Packet),如此就有误差然而此误差是否会影响准确度(流量准确度及异常流量准确度)是见仁见智,当然准确度好是更好的选择,最好是”1:1”抽样比,但是此抽样比常使”流量监视报表时”设备当机,不然就是报表显示时间需要20、30分钟,如果是动态时间查询IP更是常常造成当机。
2.选购此设备根据吾人的经验,不可以有SQL或My SQL等数据库来收集封包(Packet)数据,因”流量大”时数据库遗失封包(Packet)是常有的事,所以造成报表显示太慢、流量不正确更何况是流量异常侦测准确性。
3.建议使用(1).Arbor Networks公司的Peak Flow X产品(2).Lancope公司的Stealth Watch产品(3).Mazu Networks公司的Mazu Profiler产品(4).CureLan公司的Flowview FM产品。上述产品都是自行开发算法来统计Netflow的封包(Packet)
4.上述 4家厂商以CureLan公司的Flowview FM产品,在价格是最具竞争性其网址:
www.curelan.com
